ESET Research, 2026 yılının başından bu yana aktif olan Gentlemen fidye yazılımı çetesini ve grubun savunma sistemlerini atlatmaya yönelik araçlarını inceledi. Araştırmaya göre Gentlemen, yalnızca fidye yazılımı dağıtan bir yapı olarak değil, aynı zamanda uç nokta algılama ve yanıt sistemlerini devre dışı bırakmaya odaklanan olgun bir araç setiyle de öne çıkıyor.
ESET araştırmacıları, grubun kullandığı araçların operatörler tarafından düzenli biçimde geliştirildiğini ve bağlı ortaklara standart bir savunma atlatma katmanı sunduğunu belirtiyor. Bu yaklaşım, fidye yazılımı operasyonlarında saldırı öncesi güvenlik kontrollerini zayıflatmayı hedefleyen tekniklerin daha sistematik hale geldiğini gösteriyor.
Gentlemen ABD Merkezli Kurban Profilinden Ayrışıyor
Gentlemen, 2025 yılının sonlarına doğru Ransomware-as-a-Service modeliyle ortaya çıktı ve 2026 yılının ilk çeyreğinde daha görünür hale geldi. Grup, bağlı ortaklarına yüzde 90 gelir payı vadederken çifte gasp yöntemini de operasyonlarının parçası haline getiriyor.
ESET’in analizine göre Gentlemen, fidye yazılımı ekosistemindeki en büyük gruplardan farklı bir kurban profili sergiliyor. Hedefler ağırlıklı olarak ABD merkezli değil; Güneydoğu Asya, Güney Amerika ve Batı Avrupa’daki kuruluşlar öne çıkıyor. İncelemede Tayland, Brezilya ve Fransa hedeflenen ülkeler arasında yer alıyor.
GentleKiller Çerçevesi Öne Çıkıyor
Araştırmada Gentlemen operasyonlarının merkezindeki en dikkat çekici bileşenlerden biri GentleKiller adlı dahili çerçeve oldu. ESET araştırmacısı Jakub Souček, ESET’in Gentlemen’in EDR engelleyici geliştirme sürecine dair özel bir görünürlüğe sahip olduğunu ve Mayıs 2026’da yaşanan dahili sızıntının Şubat 2026’da ortaya koydukları hipotezi doğruladığını belirtiyor.
Souček’e göre Gentlemen operatörleri, GentleKiller merkezli EDR katili portföyünü aktif biçimde geliştiriyor ve sürdürüyor. Bu durum, grubun savunma atlatma araçlarını bağlı ortakların kendi imkânlarına bırakmak yerine merkezi biçimde sağladığını gösteriyor.
Üçüncü Taraf Araçlar Ve BYOVD Yaklaşımı Kullanılıyor
Gentlemen’in araç setinde yalnızca dahili bileşenler bulunmuyor. ESET, grubun HexKiller, ThrottleBlood ve HavocKiller gibi üçüncü taraf veya sızdırılmış araçlardan da yararlandığını aktarıyor. Bu araçlar, savunma ürünlerini devre dışı bırakmaya veya güvenlik kontrollerini zayıflatmaya yönelik standartlaştırılmış bir katman içinde kullanılıyor.
İncelemeye göre örneklerde sahte sürüm bilgileri, meşru sertifika ve simgelerin kopyalanması gibi yöntemler de görülüyor. Böylece araçlar, güvenlik tedarikçilerine ait meşru yazılımları taklit edebiliyor. Grup ayrıca BYOVD yaklaşımını da hızla operasyonelleştiriyor; yeni açıklanan kavram kanıtı çalışmalarının günler içinde saldırı zincirine dâhil edildiği belirtiliyor.
OxideHarvest Adlı Kimlik Bilgisi Hırsızı Tespit Edildi
ESET, Gentlemen ekosistemi içinde bir bağlı ortak tarafından geliştirildiği değerlendirilen OxideHarvest adlı kimlik bilgisi hırsızını da tespit etti. Bu bulgu, grubun yalnızca fidye yazılımı yüküne odaklanmadığını, saldırı öncesi ve saldırı sırasında erişimi genişletmeye yarayan destek araçlarının da operasyonlarda rol oynadığını ortaya koyuyor.
Kimlik bilgisi hırsızları, fidye yazılımı saldırılarında ağ içinde yatay hareket, ayrıcalık yükseltme ve hassas veriye erişim gibi aşamalarda kritik rol oynayabiliyor. Bu nedenle ESET’in bulguları, Gentlemen’in araç setinin savunma atlatmanın yanında erişim ve veri toplama tarafında da genişlediğine işaret ediyor.
EDR Engelleyiciler İçin Sekiz Varyant Tespit Edildi
ESET, GentleKiller ailesi altında sekiz farklı varyant belirledi. Her varyant farklı bir meşru ürünü taklit ediyor ve farklı bir savunmasız ya da kötü amaçlı sürücüden yararlanıyor. Buna rağmen ortak iç yapı nedeniyle bu örnekler aynı aile altında sınıflandırılıyor.
Araştırmacılar, Gentlemen operatörlerinin savunma atlatma tekniklerini kaynak kodu seviyesinden ziyade derlenmiş örneklere uyguladığını da aktarıyor. Souček, GentleKiller’ın iç işleyişini anlamanın gelecekte bu çerçeveye eklenecek bileşenlere karşı savunma stratejileri geliştirmek açısından önemli olduğunu vurguluyor.
ESET’in Gentlemen ve GentleKiller analizine ilişkin teknik ayrıntılar antivirus.com.tr üzerinde paylaşıldı.
